Уязвимост CVE-2026-50656 в RoguePlanet
Microsoft официално потвърди наличието на новоразкрита уязвимост от типа zero-day, засягаща Microsoft Defender, известна като RoguePlanet, и че в момента се разработва актуализация за сигурност, която да се справи с проблема.
Уязвимостта е обозначена като CVE-2026-50656 и има оценка за тежест от 7.8 по CVSS. Според Microsoft, уязвимостта е класифицирана като слабост с повишаване на привилегиите в Microsoft Malware Protection Engine, използван от Microsoft Defender.
Microsoft заяви, че е наясно с публично разкрития проблем, който изследователите по сигурността са нарекли RoguePlanet.
Съдържание
Разбиране на заплахата зад RoguePlanet
Разкритието идва след публичното разкриване на RoguePlanet приблизително седмица по-рано. Изследователят, отговорен за разкриването на недостатъка, го описва като уязвимост, водеща до условия на състезание, способна да предостави на атакуващите достъп до командна обвивка, работеща с привилегии на системно ниво.
Тъй като експлойтът разчита на състезателно условие, процентът му на успех варира между системите. Тестването показа, че някои устройства могат да бъдат компрометирани с почти перфектен процент на успех, докато други се оказват по-устойчиви на експлойт.
Забележително е, че публикуваното Proof-of-Concept (PoC) функционира независимо от това дали функцията за защита в реално време на Microsoft Defender е активирана или деактивирана.
Нарастващ списък с недостатъци в сигурността на Defender
RoguePlanet представлява четвъртата уязвимост в Microsoft Defender, публично разкрита от същите изследователи. Предишни открития включват:
BlueHammer (CVE-2026-33825)
Без защита (CVE-2026-45498)
RedSun (CVE-2026-41091)
И трите разкрити по-рано уязвимости вече са отстранени от Microsoft.
Потенциално въздействие на успешната експлоатация
Ако атака, използваща RoguePlanet, е успешна, нападателят получава достъп, работещ с разрешения на системно ниво, едно от най-високите нива на привилегии, достъпни в Windows системи. Такъв достъп позволява на злонамерените лица да:
Изпълнете произволен код.
Извършвайте неоторизирани действия в засегнатата система.
Повишените привилегии значително увеличават потенциалното въздействие на успешен компромис.
Тествано срещу напълно актуализирани Windows системи
Тестовете за сигурност потвърдиха, че експлойтът работи както на Windows 10, така и на Windows 11 системи, които вече са получили актуализациите Patch Tuesday от юни 2026 г. Това показва, че напълно актуализираните инсталации на настолни компютри остават уязвими, докато Microsoft не пусне специална корекция.
Излагането на Windows Server изисква различен метод за експлоатация
В сегашния си вид, експлойтът не функционира в Windows Server среди, тъй като на стандартните потребители не е разрешено да монтират ISO образи, което е изискване на съществуващата техника за атака.
Това ограничение обаче не трябва да се тълкува като имунитет. Изследователите подчертават, че инсталациите на Windows Server все още са засегнати от основната уязвимост. Експлойтът просто ще трябва да бъде преработен, за да се съобрази с ограниченията на платформата, преди да стане възможна успешната експлоатация.